カナル型イヤホンのイヤーパッドが割れてしまい、その代替品が百均でないものかと探していたら
本体そのものが売られていました。
百均商品のBluetoothイヤホンは以前も購入していましたが、耳の形と合わなかった記憶。今度はなんとかなりそうな形状だったこと、そして「失敗してもラーメン一杯分ぐらいだろう」という安心感のため、物は試しに買ってみます。
開封したてではバッテリーが充電されておらず。ケースに収納して1時間ほどで充電完了。
iPadとペアリングしたら意外に使えて、耳にもすんなり入ります。
音に関しては、この価格帯ではノイズキャンセリングは望めないものの、しっかり音が出ています。
という2つの安心感は高級品にはないアドバンテージです。もう少し使ってみることにします。
Redmineでファイルをアップロードしようとした際、ModSecurity (WAF) によってブロックされ、エラーになる事象が発生しました。
その原因と事象解決のメモです。
環境をWebArenaからXServerに移行した直後。
Redmineのチケットでファイルをアップロードしようとすると、ファイルアップロードのプログレスバーが完了せず、アップロードできません。
こういうときの答えはたいがい、エラーログに書かれているのでそれを確認します。
見つけたログ(IPアドレスやホスト名は改変済み):
[Wed Aug 13 12:47:21.713637 2025] [security2:error] [pid 11190] [client AAA.BBB.CCC.DDD:40404] ModSecurity: Request body no files data length is larger than the configured limit (131072). [hostname "hoge.example.com"] [uri "/uploads.js"] [unique_id "aJwKye92u8EKc4H_FxCb5QAAABQ"], referer: https://hoge.example.com/issues/123Request body no files data length is larger than the configured limit (131072)
これは、「ファイル以外のリクエストデータ(no files data)のサイズが、設定された上限値(131072バイト = 128KB)を超えています」という意味です。
Redmineは、ファイルをアップロードする際、ファイルそのものとは別に、チケットの題名や説明といったテキスト情報も同時にサーバーへ送信します。このテキスト情報の合計サイズが、ModSecurityのデフォルトの上限値である128KBを超えてしまったため、攻撃と誤認され、ブロックされる。
というのがAI(Gemini)の回答。
既にApacheのバーチャルサイトの.confファイルには
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000と記述していますが、サーバの入れ替えと同時にModSecurityのCRSをアップデートしたことで設定が足りなかったようです。
ここまで分かれば、解決まであと少し。
ModSecurityのメイン設定ファイルで、SecRequestBodyNoFilesLimitの上限値を設定で上書きしていきます。
sudo cp -pi /etc/apache2/site-available/redmine.conf /path/to/backup/directory/redmine.conf.$(date +%Y%m%d).confの名前やバックアップディレクトリは自分の環境に合わせます。
diff -u /path/to/backup/directory/redmine.conf.$(date +%Y%m%d) /etc/apache2/site-available/redmine.conf差分がなければ(エラーがなければ)バックアップ成功。
上述した設定ファイルを以下のように修正。
修正前(例):
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000修正後(例):
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
SecRequestBodyNoFilesLimit 524288000両方の値を同じにしておくと、管理が分かりやすくなります。
なお、500MBとしているのは一時的に大きなファイルを置くこともあるからです。上限値は自分の運用方針やストレージ量に合わせましょう。
diff -u /path/to/backup/directory/redmine.conf.$(date +%Y%m%d) /etc/apache2/site-available/redmine.confSecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
+SecRequestBodyNoFilesLimit 524288000と、追記した行が出てくることを確認します。
sudo apache2ctl configtestSyntax OKを確認します。
sudo systemctl restart apache2.servicesystemctl status apache2.serviceRunning(active)を確認します。
Redmineのチケット作成/編集画面でファイルが正常にアップロードできるようになれば対処完了です。
新環境の構築時、最新のCRSを導入したため、旧環境をそのまま引き継いだというのが直接的な原因でした。
こういう罠があちこちに潜んでいるので、何かあったらログを見て事象を確かめるのが事象解消の近道です。
WebArenaからXServerに移行し、メモリを6GBまで増強したものの、スワップの使用量増加が止まらず。
これをチューニングによりなんとか抑えられたというメモ書きです。
libapache2-mod-passengerがインストール済み上記環境のmod_passengerは、筆者のように複数のアプリケーションを、リソースが限られたVPSで運用する場合(いわゆる逸般的な使い方)は、メモリを過剰に消費し、サーバー全体のパフォーマンスを低下させる可能性があります。
事実、free -hコマンドで、Swapの使用量が放置しているのに高まってきたという状況でした。
そこで、リクエストがあれば都度、プロセスを増やしてしまうpassengerの機能をチューニングで抑制します。
※この設定は、バーチャルサイト個別設定ではなく、一括で設定を行います。
なぜなら、Passenger関連のディレクティブが、<VirtualHost>ブロックの中に書くことができないからです。
sudo cp -pi /etc/apache2/mods-available/passenger.conf /path/to/backup/direcotry/passenger.conf.$(date +%Y%m%d)バックアップディレクトリは自分の環境に合わせます。(筆者環境:/etc/conf/backup)
diff -u -pi /path/to/backup/direcotry/passenger.conf.$(date +%Y%m%d) /etc/apache2/mods-available/passenger.conf 差分がなく、エラーがなければバックアップはできています。
上記passenger.confファイルを開き、<IfModule mod_passenger.c>...</IfModule>ブロックの中に、以下の設定を追記します。
<IfModule mod_passenger.c>
PassengerRoot /usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini
PassengerDefaultRuby /usr/bin/ruby
# --- ▼ここから追記▼ ---
# Passengerが起動するRubyプロセスの最大数を4に制限
PassengerMaxPoolSize 4
# 各アプリケーションごとに起動する最大プロセス数を1に制限
PassengerMaxInstancesPerApp 1
# プロセスが300秒(5分)アイドルだったら停止させる
PassengerPoolIdleTime 300
# --- ▲ここまで追記▲ ---
</IfModule>| ディレクティブ | 説明 |
|---|---|
PassengerMaxPoolSize | Passengerがサーバー全体で起動するRubyプロセスの最大総数です。サーバーのメモリ上限を超えないよう、搭載メモリ量に応じて設定します。 |
PassengerMaxInstancesPerApp | 各アプリケーションごとに起動できるプロセスの最大数です。例えば1に設定すると、一つのRedmineサイトは同時に1つのプロセスしか使えなくなります。 |
PassengerPoolIdleTime | プロセスがここで指定した秒数以上アクセスがない場合、Passengerはそのプロセスを停止させ、メモリを解放します。 |
ファイルを保存した後、Apacheを再起動して設定を反映させます。
sudo apache2ctl configtestSyntax Okを確認します。エラーが出たらその箇所を確認し、Syntax OKが出るまで修正します。
sudo systemctl restart apache2.servicesystemctl status apache2.serviceRunning(Active)を確認します。
この状態で一晩ほど様子を見ました。
free -h
total used free shared buff/cache available
Mem: 5.8Gi 3.3Gi 551Mi 141Mi 2.3Gi 2.4Gi
Swap: 2.0Gi 1.5Mi 2.0Giのまま。チューニング前はSwapを100~500MBも使用していたことから、動作は安定。設定は有効のようです。
Nextcloud等のLAMP環境で利用するPHPを、PHP-FPM (FastCGI Process Manager) を使ってApacheと連携させる形でインストール・設定します。php-fpmを利用すると、PHPの処理がApacheのプロセスから分離されるため、パフォーマンスの向上や、より柔軟なリソース管理が期待できます。
※筆者の好みでaptitudeを用いています。適宜、aptに読み替えてください。
最新のPHPバージョンを利用するため、ondrej/phpリポジトリを追加します。
sudo add-apt-repository ppa:ondrej/phpsudo aptitude updatePHP本体と、php-fpm、そしてWebアプリケーションで一般的に必要とされる拡張機能をインストールします。
sudo aptitude install php8.3 php8.3-fpmsudo aptitude install memcached php8.3-apcusudo aptitude install php8.3-{opcache,pdo,bcmath,calendar,ctype,fileinfo,ftp,gd,intl,json,ldap,mbstring,mysql,posix,readline,sockets,bz2,tokenizer,zip,curl,iconv,phar,xml,imagick,gmp,redis-server}php -vPHP 8.3.xのように、インストールしたバージョンが表示されることを確認します。
php-fpmでPHPを動かすため、従来のmod_phpを無効化し、代わりにphp-fpmと通信するためのproxy_fcgiモジュールを有効化します。
mod_phpを無効化sudo a2dismod php8.3sudo a2enmod proxy_fcgi setenvifNextcloudなどのアプリケーションでは、パフォーマンス向上のためこれらのキャッシュ設定が推奨(あるいは必須)となります。
sudo mv /etc/php/8.3/mods-available/opcache.ini /path/to/backup/directory/opcache.ini.$(date +%Y%m%d)sudo mv /etc/php/8.3/mods-available/apcu.ini /path/to/backup/directory/apcu.ini.$(date +%Y%m%d)任意のバックアップディレクトリを指定します。(筆者環境/etc/conf_backup)
cat <<- __EOF__ | sudo tee /etc/php/8.3/mods-available/opcache.ini > /dev/null
; configuration for php opcache module
; priority=10
zend_extension=opcache.so
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=16
opcache.max_accelerated_files=10000
opcache.memory_consumption=256
opcache.save_comments=1
opcache.revalidate_freq=1
__EOF__cat <<- __EOF__ | sudo tee /etc/php/8.3/mods-available/apcu.ini > /dev/null
extension=apcu.so
[apcu]
apc.enabled=1 apc.shm_size=32M apc.ttl=7200 apc.enable_cli=1 apc.serializer=php
__EOF__※ メモリ量などは環境に合わせます。
各WebサイトのApache設定ファイル(.conf)で、PHPへのリクエストをphp-fpmに渡すように設定します。この設定がなければPHPスクリプトをサーバが解釈せず、動きません。
/etc/apache2/sites-available/hoge.confなど)<VirtualHost>ブロックの中に、以下の<FilesMatch>ブロックを追記します。 <VirtualHost *:443>
ServerName hoge.example.com
# ...
<FilesMatch \.php$>
# SetHandlerで、phpファイルのリクエストをFastCGIプロキシに渡す
SetHandler "proxy:unix:/var/run/php/php8.3-fpm.sock|fcgi://localhost/"
</FilesMatch>
# ...
</VirtualHost>このSetHandlerディレクティブが、Apacheに来たPHPへのリクエストを、バックグラウンドで動いているphp-fpmのプロセスに転送する役割を担います。
設定を反映させるため、Apacheとphp-fpmの両方を再起動します。
sudo systemctl restart php8.3-fpm.servicesudo systemctl restart apache2.servicemod_phpは無効化されているため、a2queryではdisabledと表示されるのが正しい状態です。代わりに、php-fpmサービスが稼働していることを確認します。systemctl status php8.3-fpm.service`active (running)`と表示されていれば、PHP-FPMの導入と設定は完了です。2025/08/12 朝、管理しているWebサーバーにSSHで接続できなくなり、Webサイトも全て閲覧できなくなる障害が発生しました。本記事は、その原因究明から、応急処置、そして恒久対策までの一連の流れを記録したものです。
redis-serverの停止処理(DBの保存)でタイムアウトし、正常にシャットダウンできない。障害の切り分け中、Wasabiクラウドストレージをマウントしようとした際に、以下のエラーが発生しました。
sudo mount -amount.s3fs: unable to access MOUNTPOINT /mnt/wasabi: No space left on device「No space left on device(デバイスに空き領域がありません)」というこのエラーメッセージ。150GBもディスク容量があるのになぜ……? 思いつつ調査を行います。
上記のエラーを受け、ディスクの空き容量を確認しました。
df -h実行結果:
Filesystem Size Used Avail Use% Mounted on
/dev/vda1 145G 145G 0 100% /この結果から、**ルートディレクトリ(/)のディスク使用率が100%**になり、空き容量がゼロになっていることが、数値的にも裏付けられました。
次に、どのディレクトリが容量を使い果たしているのかを調査しました。
sudo du -h -d 1 /実行結果(抜粋):
125G /var/varディレクトリが125GBを占めていることが分かりました。さらに詳細に調査を進めます。
sudo du -h -d 1 /var/log実行結果(抜粋):
122G /var/log/apache2/var/log/apache2が122GBという、異常なサイズになっていることが特定できました。
その後、/var/log/apache2ディレクトリの中身を確認しました。
ls -lh /var/log/apache2実行結果(抜粋):
-rw-r----- 1 root adm 61G 8月 12 08:09 modsec_audit.log
-rw-r----- 1 root adm 59G 8月 11 00:15 modsec_audit.log.1**ModSecurityの監査ログ(modsec_audit.log)**が、わずか2日間で120GB以上にまで肥大化していたことが、直接の原因であると確定しました。
ここまで分かれば対処はもうすぐです。
まず、サーバーを正常に動作させるため、巨大化した監査ログを削除し、空き容量を確保します。
sudo rm /var/log/apache2/modsec_audit.log*sudo systemctl restart apache2.servicemodsec_audit.logは、攻撃の詳細な分析やデバッグには役立ちますが、今回のようにログがディスクを圧迫し、サーバーダウンを引き起こしますため、この設定をオフにします。
sudo nano /etc/modsecurity/modsecurity.confSecAuditEngineの値をOffに変更します。 修正前: SecAuditEngine RelevantOnly 修正後: SecAuditEngine Offsudo systemctl reload apache2.serviceその後、念のためサーバそのものを
```bash
sudo reboot
```で、状況が元に戻っていることを確認しました。
今回の障害は、ModSecurityの監査ログが有効になったまま放置され、そのログがログローテーションの対象になっていなかったために、ディスク容量を100%使い果たしたことが原因でした。
前述したとおり、よりよいスペックのサーバに引っ越した後の出来事だけに、かなりの冷や汗ものでした。
サーバの移設中なので、ログに関しての記録を残しています。
Webサーバ全般のメンテナンスで特に必要なのは
「ログを適切に管理する」
です。
を目の当たりにできる手段だからです。(特に後者に助けられたことは幾度となくあります)
そのため、Webサーバ上のログのローテーションを行い、履歴を追いやすくし、更にサーバの容量も削減するログローテーションを行います。
ログファイルが肥大化するのを防ぐために、古いログを一定のルールに基づいて新しいログに切り替えたり、削除したりする仕組みのことです。
hogeサイトのアクセス記録である/var/log/access.logというファイルは、何も設定していないとログが記録され続けます。これによって以下の問題が起きます。
「Webサーバに新たなWebサイトやサービスを立ち上げたとき」 です。
試験運用などでもログは問題が起きたときのヒントとなるからです。
apt(aptitude)によるパッケージ管理でインストールしているため、Apacheの実行ユーザはwww-dataです。ディストリビューションが違ってもこの手順は有効ですが、RockyやAlma等のRHEL系のApacheの実行ユーザは通常はapacheであることに注意しましょう。
www-dataに変えます。ここでは、hogeサイト(/var/log/hoge)のログをローテーションする方法です。
これは、Redmineのlogプラグインのように、Webインタフェース上からログを閲覧できるプラグインがある場合、Apacheを実行しているサービス自体が参照できるようにするためです。
sudo chown -R www-data:www-data /var/log/hogeログ一式の所有者を変えます。ログファイルの形式は自分の環境に合わせます。
ls -l /var/log/hogeログファイルの所有者とグループがwww-dataであることを確認します。
ファイル名やログのパスは自分の環境に合わせます。 ここを間違えると元も子もありません。
cat <<- __EOF__ | sudo tee -a /etc/logrotate.d/hoge
/var/log/hoge/*.log {
daily
missingok
rotate 10
compress
copytruncate
notifempty
su www-data www-data
__EOF__これは、以下を行います。
他、週ごとやログのファイル形式(日付形式)などを設定できます。こちらは運用に合わせてください。
sudo logrotate -dv /etc/logrotate.d/hoge※先ほど作成したファイル名に合わせます。
ここでエラーがなければログローテーションはできています。
すぐにローテーションを確かめる場合は以下を実行します。強制的にログローテーションを行うコマンドです。
sudo logrotate -f /etc/logrotate.d/hogeこのコマンドを実行後、/var/log/hoge/ディレクトリ内にaccess.log.1.gzのようなファイルが作成され、元のaccess.logが空になっていれば、設定は完璧です。
サーバスペックの要となる
を一度に表示するワンライナーです。
awk 'BEGIN {FS=":"; OFS="\t"} /^model name/ && !cpu_model {cpu_model=$2; gsub(/^ */, "", cpu_model)} /^processor/ {cores++} /^MemTotal/ {mem_total=$2} /^MemAvailable/ {mem_avail=$2} /^SwapTotal/ {swap_total=$2} END {printf "CPUモデル\t: %s\n", cpu_model; printf "CPUコア数\t: %s\n", cores; printf "合計メモリ\t: %.2f GiB\n", mem_total/1024/1024; printf "利用可能メモリ\t: %.2f GiB\n", mem_avail/1024/1024; printf "合計スワップ\t: %.2f GiB\n", swap_total/1024/1024}' /proc/cpuinfo /proc/meminfoCPUモデル : AMD EPYC-Milan Processor
CPUコア数 : 4
合計メモリ : 5.78 GiB
利用可能メモリ : 5.34 GiB
合計スワップ : 2.00 GiBと、分かりやすい表示で一気に表示してくれます。
中古で購入したThinkPadがもたらしたのは、「出かけることのハードルの低さ」です。
常に行う
が、自宅で行うことなく可能になったからです。
喫茶店で食事を取りながらの入出金記録を行い(この食事代も記録しながら)
また、出先に椅子とテーブルがあると分かっていれば、このように、アナログな記録も同時に実施することができます。
記録するための道具がそろっていれば、記録する環境は問わない(というか状況に合わせて選べる)
というのが分かったのが、このThinkPadでの収穫です。
こちらの記事の続きです。
実際に使ってみて
を踏まえ、メインのキーボードをこちらに差し替えました。
改めて思ったのが、デスク周りが格段に広くなったということ。
そして、「ある程度市場に出回っている現行品」のため、何かあっても入手しやすいこと」は大きいです。
今まで愛用していた分割キーボードの日本代理店が撤退し、今後の入手をどうしようかと思っていただけに、ThinkPad購入によるキーボードの使いやすさが飛び込んできたという形です。
Powered by WordPress & Theme by Anders Norén